本頁面由 Cloud Translation API 翻譯而成。

允許服務範圍外的受保護資源存取要求

如要從服務範圍外部授予服務範圍內受保護 Google Cloud 資源的受控存取權，請使用存取層級。

存取層級定義了一組屬性，要求必須符合這些條件才能接受。存取層級可以包含多種條件，例如 IP 位址和使用者身分。

如需存取層級的詳細總覽，請參閱 Access Context Manager 總覽。

在邊界中使用存取層級前，請考量下列事項：

搭配使用 VPC Service Controls 與存取層級的限制

搭配使用存取層級與 VPC Service Controls 時，適用下列限制：

存取層級只允許範圍外的請求，用於範圍內受保護服務的資源。

您無法使用存取層級，允許範圍內受保護資源的存取要求，存取範圍外的資源。舉例來說，服務範圍內的 Compute Engine 用戶端呼叫 Compute Engine create 作業，但映像資源位於範圍之外。如要允許範圍內受保護的資源存取範圍外的資源，請使用出口政策。
雖然存取層級可用於允許服務範圍外部的請求，但您無法使用存取層級，允許其他範圍的請求存取您範圍中的受保護資源。如要允許其他範圍的請求存取您範圍中的受保護資源，該範圍必須使用egress 政策。詳情請參閱重疊範圍之間的要求。
如要允許從部署在不同專案或組織中的私人資源存取外圍，來源專案中必須有 Cloud NAT 閘道。Cloud NAT 已與私人 Google 存取權整合，可自動在資源的子網路上啟用私人 Google 存取權，並將流量保留在 Google API 和服務的內部，而非使用 Cloud NAT 閘道外部 IP 位址將流量路由至網際網路。由於流量是在 Google 內部網路中轉送，因此 AuditLog 物件的 RequestMetadata.caller_ip 欄位會被編輯為 gce-internal-ip。請不要在以 IP 為準的許可清單的存取層級中使用 Cloud NAT 閘道的外部 IP 位址，而是設定入站規則，根據專案或服務帳戶等其他屬性允許存取。

您可以使用 Access Context Manager 建立及管理存取層級。

如要建立存取層級，請參閱 Access Context Manager 說明文件中的建立存取層級相關資訊。

以下的例子說明如何使用不同條件建立存取層級：

您可以在建立服務範圍時，為該範圍新增存取層級，也可以為現有範圍新增存取層級：

如要瞭解如何列出、修改及刪除現有的存取層級，請參閱「管理存取層級」。